サイバーセキュリティ研究者は、コロンビアの司法制度を装ったフィッシング攻撃の一環として、SVG(スケーラブル・ベクター・グラフィックス)ファイルが悪用された新たなマルウェアキャンペーンを警告しています。
VirusTotalによると、これらのSVGファイルはメール経由で配布され、埋め込まれたJavaScriptペイロードを実行するよう設計されています。その後、Base64でエンコードされたHTMLフィッシングページをデコードして注入し、コロンビア検察庁(Fiscalía General de la Nación)のポータルを装います。
このページは、偽の進行バーを使って公式な政府文書のダウンロードプロセスをシミュレートしつつ、裏でZIPアーカイブのダウンロードを密かに開始します。ZIPファイルの正確な内容は明らかにされていません。
Google傘下のマルウェアスキャンサービスは、44個のユニークなSVGファイルを発見したと述べています。これらはすべて、難読化、ポリモーフィズム、大量のジャンクコードなどの手法により、ウイルス対策エンジンによる静的検出を回避していました。
これまでに、最大523個のSVGファイルが野生下で検出されており、最も古いサンプルは2025年8月14日に遡ります。
「さらに調査したところ、最初期のサンプルは約25MBと大きく、時間とともにサイズが減少していることが分かりました。これは攻撃者がペイロードを進化させていることを示唆しています」とVirusTotalは述べています。
この発表は、正規ソフトウェアのクラック版やClickFix型の手法が、AppleのmacOSシステムにAtomic macOS Stealer(AMOS)と呼ばれる情報窃取型マルウェアを感染させるために利用されていることが明らかになった中で行われました。これにより、企業はクレデンシャルスタッフィングや金銭窃盗、その他の二次攻撃にさらされています。
「AMOSは幅広いデータ窃取を目的として設計されており、認証情報、ブラウザデータ、暗号通貨ウォレット、Telegramチャット、VPNプロファイル、キーチェーン項目、Apple Notes、一般的なフォルダ内のファイルなどを盗むことができます」とTrend Microは述べています。「AMOSは、macOSがもはや周辺的なターゲットではないことを示しています。macOSデバイスが企業環境で普及するにつれ、攻撃者にとってより魅力的で収益性の高い標的となっています。」
攻撃の流れは、haxmac[.]ccのようなサイトでクラックソフトを探しているユーザーをターゲットにし、偽のダウンロードリンクにリダイレクトして、ターミナルアプリで悪意のあるコマンドを実行させるインストール手順を提示し、AMOSの展開を引き起こすというものです。
Appleは、macOSのGatekeeper保護機能により、適切な公証がない.dmgファイルのインストールを防いでいることに注意が必要です。Gatekeeperは、アプリケーションパッケージが識別された開発者によって署名され、Appleによって公証されていることを要求します。
「macOS Sequoiaのリリースにより、AMOSキャンペーンで使われるような悪意のある、または署名されていない.dmgファイルのインストールはデフォルトでブロックされます」と同社は付け加えています。「これによりリスクが完全になくなるわけではありませんが、特に内蔵の保護機能を回避しようとするユーザーにとっては、感染のハードルが上がり、攻撃者は配布手法の適応を余儀なくされます。」
このため、脅威アクターはClickFixの利用をますます重視しています。ClickFixは、ソフトウェアのダウンロードページに記載されたcurlコマンドを使って、ターミナル経由でスティーラーをマシンにインストールできるためです。
「macOS Sequoiaの強化されたGatekeeper保護により、従来の.dmgベースの感染は効果的にブロックされましたが、脅威アクターはすぐにセキュリティ制御を回避するのにより効果的なターミナルベースのインストール手法に切り替えました」とTrend Microは述べています。「この変化は、内蔵のOS保護機能だけに頼らない多層防御戦略の重要性を浮き彫りにしています。」
また、ゲーマーがチートを探す際に、StealCスティーラーや暗号通貨窃盗マルウェアによる「広範なサイバーキャンペーン」が発見され、脅威アクターが13万5,000ドル以上を得ていることも明らかになっています。
CyberArkによると、この活動はStealCのローダー機能を活用して追加のペイロードをダウンロードさせる点が特徴的で、今回は感染したマシンのユーザーからデジタル資産を抜き取る暗号通貨スティーラーが使われています。
翻訳元: https://thehackernews.com/2025/09/virustotal-finds-44-undetected-svg.html